大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 55
ストーリー by nagazou
停止 部門より
停止 部門より
大阪・住吉区の「大阪急性期・総合医療センター」で、10月31日に電子カルテのシステム障害が発生し、診療を停止した。原因はランサムウエア。31日午前7時ごろ、電子カルテのシステムに障害が発生し閲覧などができなくなったという(大阪急性期・総合医療センターリリース[PDF]、TBS NEWS DIG、産経新聞、NHK)。
病院のサーバーには「すべてのファイルを暗号化した。復元のためにはビットコインで支払え」などとする英文のメッセージが届いたという。同病院は31日朝から緊急以外の手術や外来診療などを停止、患者約600から1000人に影響があったとみられている。1日にリリースを出し同日の17時現在、復旧のめどが立っていないことから当面の間、休診とさせていただくとする告知をおこなっている。
病院のサーバーには「すべてのファイルを暗号化した。復元のためにはビットコインで支払え」などとする英文のメッセージが届いたという。同病院は31日朝から緊急以外の手術や外来診療などを停止、患者約600から1000人に影響があったとみられている。1日にリリースを出し同日の17時現在、復旧のめどが立っていないことから当面の間、休診とさせていただくとする告知をおこなっている。
完全ハーバード・アーキテクチャのコンピュータ (スコア:2)
はできないのかな?
CPUのレジスタ、キャッシュ、主記憶、補助記憶をプログラムとデータで完全に分離する。
(スタックポインタも命令用とデータ用で分ける。)
プログラムの更新は、コンピュータを止めてプログラム用の補助記憶装置を書き換えないとできないようにする。
防ロボット化大人 (スコア:0)
想定範囲内だ!か?
Re: (スコア:0)
リアルでも散々いわれてるんだろうけど、
存在そのものがウザいねお前
インターネットとの界面とか、持ち込みメディアとか (スコア:0)
>病院のサーバーには...英文のメッセージが届いた
とあるからサーバーをインターネットにそのまま繋いでいたのか
こういうのってシステム構築会社の責任とか問われないのかね
どこに穴があったかせいぜい他山の石そのものになって欲しい
Re: (スコア:0)
定番だとベンダ保守用にVPN装置繋いでいてその脆弱性突かれたってパターンですね。
マイナ保険証使うと病院間で電カル接続して情報共有できるって宣伝されてますが、これも恐らくセキュリティホールとなることでしょう。
Re: (スコア:0)
(マイナ)保険証と電子カルテの情報共有は別系統じゃないか?
Re:インターネットとの界面とか、持ち込みメディアとか (スコア:0)
論理的に繋がりはないはずなのですが、何故かマイナ保険証のメリットとして宣伝されてるので。
Re: (スコア:0)
宣伝と実際のシステムの間に何か関連があるの?言っている意味が分かりかねる。
Re: (スコア:0)
マイナ保険証を葬りたい人なんでしょう。
Re: (スコア:0)
アホか、
定型文を見ただけでは?
院内の端末が感染後それが出るだけの作りなら足取りは追えない。
どこでも起こりうるよね。
十分に容量がありシャドウコピーが使えるなら戻せたかもしれないし。
また曜日ごとにバックアップしたものを曜日替わりで保存する構造なら復帰できただろうし
やられる前提での対策は一番大事でしょうね。
同一システムで構築すると脆い (スコア:0)
1台の感染が波及するから異なる
OSやシステムで構築することをお勧めする。
ファイルのアクセス権一つにとっても
1つの権限で全部横断できるようなadministrator的なものを使用不可にするだけでも効果がある。
administratorはシステム保守以外使わないこととかね。
Re: (スコア:0)
異なるアーキテクチャを混在させたシステムとかメンテだるいな。
Re: (スコア:0)
考え方によっちゃ、アーキテクチャの数だけセキュリティホールが増えるとも言えるわけだしね。
Re: (スコア:0)
更にいうとデータはどれを経由してもやられるという
Re: (スコア:0)
内部に入られたら終わり。サーバ他の脆弱性で管理者権限が渡る。
脆弱性検知や自動暗号化がランサムウェアセットtoolの破壊力。
結局VPNを正規管理者でログイン出来れば突破となる。
こういうの見ると思う事 (スコア:0)
オフラインバックアップしてなかったんか?って事。
まぁ、うちの会社でもLTO5へのオフラインバックアップは週1回だけど、
社内NASへのオンラインバックアップは毎日取ってるし、
システムバックアップもあるから、サーバ自体がコケても復元は半日位で済む。
毎日のデータが重要なら毎日オフラインでバックアップ取るべきだと思うなぁ...
Re: こういうの見ると思う事 (スコア:1)
穴を塞がずにデータだけ戻したところで、速攻再暗号化されるだけだと思いますが。
Re: (スコア:0)
以前から潜伏していてバックアップにも入り込んでいる可能性も考えないといかんしねえ
Re: (スコア:0)
標的型だと検出できてないかもしれませんしねぇ…
Re: (スコア:0)
ITインフラの仕事してるけどテープバックアップ案件はほとんど無くなってしまったな
ストレージスナップショットもしくはバックアップソフト使用がほとんど
先日客がEmotetに感染してバックアップソフト動かしているWindowsServerもやられた
もちろんバックアップデータもすべて暗号化されたので復旧はできなかったよ
Re: (スコア:0)
テープバックアップ回帰は大企業中心に動いていると思うんだけど...最近の監査がらみの要件にもオフラインバックアップの実現手段として載ってきてるし。
ストレージの機能を用いたスナップショット+非同期レプリケーション(VSS+DFSやWindows上で動くものは不可)は当たり前にやるとして、
バックアップソフトで動かすならせめてストア先はWindowsの影響を受けないものを選ばないと意味がない。
あとはクラウド上にオンサイトと同系統のバーチャルストレージアプライアンスを動作させるのも次善策ではある。
Re: (スコア:0)
EmotetでServerがやられるイメージが湧かないのだがどういう運用をしてんだろう。
Serverでメールなんて読まないしOfficeすら入ってないな。さすがにブラウザは使うが。
端末が感染して踏み台になったところへ外部から侵入されて、
高度な技術を持つ侵入者が未対策の脆弱性を突いてServerに侵入みたいな?
Re: (スコア:0)
Emotetって要はダウンローダだから、そこからいくらでもスクリプトやプログラムを注入し放題なんですが...
そうすれば未知/既知ともに脆弱性ツッツキ放題です。
Re:こういうの見ると思う事 (スコア:1)
ド素人の端末にスクリプトやプログラムを注入して乗っ取ったぐらいで、Serverのバックアップ処理をどうこうできる権限が簡単に取れるわけないでしょ。
どんな運用してんのよ。納品してから1度もパッチ当ててないとか?
Re: (スコア:0)
インターネットにつながっていない(ことになっている)のに、どうやって日常的にパッチ当てるのさ?
普通そういうシステムは閉環境であることを前提にバグ以外のパッチは当てないのがあたりまえ(ホスト運用のやり方の名残)
Re: (スコア:0)
このトピの総合医療センターの話なんてしてないが、#4353877が経験したのはクローズドな環境だったのか?
だったらEmotetに感染したのも、スクリプトやプログラムを注入し放題でリモートで脆弱性ツッツキ放題な、ぜんぜんクローズドになってないのも困った運用だな。
Emotetとは別に、FortiGateのファイアーウォールだかVPNもやられたのか?
Re: (スコア:0)
1台でもクライアントが感染したら、ネットワークにつながってたらサーバーなんて簡単に乗っ取れるのよ。意識変えた方がいい。
一番簡単なのはAnyDeskとかのリモートデスクトッププログラムをサービスで立ち上がるようこっそり入れて、正規のクレデンシャルでそのあと昼休みとかにゆっくりやる。
Re: (スコア:0)
「昼休み程度の時間があれば、俺は勤め先のサーバーを簡単に乗っ取ってやるぜ」
スラドはすごい人材の集まりなのか、運用がめちゃくちゃな会社が多いのか・・・
Re: (スコア:0)
その2択なら「運用がめちゃくちゃな会社が多い」の方なんだが、もうちょっと突っ込んだ話をするとアンチウイルスとかIPSとかって正規のプログラムにめっちゃ弱いのよ。
正規の良く知られたプログラムを動作させて準備することで、実際の被害が出るまでリモートからの不正アクセスされてる事が分からんケースがある。
exe単体やブラウザ経由で動くような奴だと、動作ログでも完全フリーズ環境以外じゃ時間かけないと分からん。そしてそんなことに時間/人が掛けられないケースが多い。
あと、新興国にオフィスや工場があったりするとモラルハザード起こりやすくて、
サポートのために常時インターネット接続型のリモートデスクトップソフトをその国の超大手ベンダーが当たり前のようにインストール指定してきたり、
445とかの普段開けないようなポートの穴あけを要望してきたりするので、グッと危険度が上がる。
Re: (スコア:0)
エンドユーザー権限ではなく、「バックアップ処理をどうこうできる権限」を簡単に取ってやるというので驚いているのです。
それダメ! (スコア:0)
奈良県宇陀市立病院で2020年に発生したランサムウェア感染への提言(PDF) [uda.nara.jp]
(調査により判明していること)
■感染経路の特定
システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況となりました。
(ウイルス感染の影響)
ウイルスの侵入経路は機器を再セットアップしたことによりログが残っていないため、個 人情報の流出があったか否かの断定が行えなかった。現在まで間いため、個 人情報の流出があっか否断定行えな。現在までの間、個人情報が流出したという情報はありませんが、引き続き動向を注意して参ります。
安易に復旧すると後で痛い目に合う。
Re: (スコア:0)
引用文が崩れているのは、提言を作成したWord 2013が腐ってるためなのでご容赦を。
Re: (スコア:0)
それはケースバイケース。
復旧を優先するか証拠保全を優先するかは現場現場、場合によっちゃ同じ現場でも今抱えている業務の状況で異なってくる。
日頃、その線引きを決めておくことも運用の重要なタスクなんだわ。
Re: (スコア:0)
毎日バックアップは取っている。小さいサーバーしか扱った事がないだろ!!
何も分かっていない。サーバー自体に入れるなら、半日でも出来る。
初期状態に戻してから、入れ直す必要がある。どこに、ウィルスが残っているか分からないから!
家庭用PCと訳が違う。全端末を新規入替も必要だ!!
Re: (スコア:0)
(ネタだとわかっているが)んなわけあるかいな...
完全に痕跡が残らないで改変されることはまずないから、痕跡を追ってクリーンな範囲を特定してその部分に戻すよ。
Re: (スコア:0)
今NHKのニュースで、バックアップはあるがシステムの安全が確認できるまで復旧処理できないと言ってました。
Re: (スコア:0)
うーん、安全をどこに置くかだけど、「おかわり」が嫌ならそれなりの暫定運用をする形で、
まずは証拠保全として現状のディスクデータとログをとりあえずコールドコピーしてから、
取り急ぎここまで戻せばとりあえず問題ないであろうち思われる時点のデータでシステム自体はさっさと暫定復帰させて、その後ゆっくり原因究明すればいいのに。
少なくともうちの周りでは業務復旧優先だとこの方針。
どんな障害であれ待てて復旧まで土日挟んだ3日、平日だと24時間というところは多い
Re: (スコア:0)
セキュリティ絡みだと、他にも穴は無いのかってはなしからシステム総点検に繋がるから
簡単にはいかないよ。
Re: (スコア:0)
それは原因究明重視では正しいんだけど、業務復旧重視だと止めておける時間にタイムリミットがあるので、穴がまだ開いていることを前提に、利用制限(インターネット接続完全遮断など)をかけて暫定的に復旧させることがある。原因究明と対策は暫定復旧後に時間をかけてやる感じ。
これはその組織システム障害時の考え方次第なので、どっちも間違ってはいない。
Re: (スコア:0)
ランサムウェアはケースによっては40日前に感染し潜伏している状況もある。
2ヶ月前のバックアップでないとダメそう。
無題 (スコア:0)
院内のちょっとパソコンに詳しい人がファイルサーバーを立てて、いつの間にか退職していた...類だろう。Windows XP や Windows 7 をインターネットにつなげていて、もはやどうしようもない。電子カルテシステムはおそらくPHPなのだろう。
Re: (スコア:0)
分かりやすく電子カルテと言っているが、基幹はレセコン + オーダリング + 電子カルテ + 部門システムの複合体でしょ。
で、このクラスの病院ならカスタマイズ山ほど入った富士通かNEC。
どっちもWebベースシステムではない。
Re: (スコア:0)
ここはNECが入れてるっぽいですね。
このクラスの病院なら医療情報部にベンダーの人員が常駐してて、即対応に当たっていると思う。
ランサムウェア問題はセキュリティベンダが個別で対応するレベルではない気がする (スコア:0)
病院とか人命に直結してる所は特にまずいけど、その他の機関や企業へのダメージも相応に重い。
ランサムウェアに対しては国とかの管理で攻撃情報共有とか対策のためのシステム基準策定とかしてった方が良くない?
ターゲットが私企業だけならまだいいけど、システムにリソース掛け(られ)ない病院がいくつもノーガードで放置されてる状況は社会的な問題では。
Re: (スコア:0)
それは対策する金を国が出してやるのか、規制を厳しくして対策費用を無理やりねん出させるのか、どちらですか?
Re: (スコア:0)
少なくとも国が動くならどう動くにしろ金は掛かるよ。
補助金などで支援するにしても病院側もコストが全くかからないなんて事はない。元々やるべき事があるのだから。
ただ、最も正しいやり方をした場合は全体の合理化で支払うべきコストは最小限になるし、ランサムウェアの被害も最小限になる。
Re: (スコア:0)
大きくない医療機関だとITや情報セキュリティに強い職員がほとんどいなかったりするので、
攻撃情報共有しても全く見てなかったり読んでも意味が分からなかったり、
システム基準策定しても準拠するようにしたのは最初だけで、あとはなし崩し的に運用が甘くなっていったり、
ほとんど守られていなかったりするのが目に見えています。
情シスに相当する職員への情報セキュリティに関する教育の支援や費用の一部負担を行いつつ、
医療機関の規模に応じて大病院なら情報処理安全確保支援士の資格保有者の配置を義務付ける等、情報セキュリティに強い職員が参画する状態にする。
非IT職も含む全職員へのセキュリティ意識のアンケートや抜き打ちのセキュリティ監査を行って、成績不良であれば改善を求め、改善が見られなければ罰則を適用する等、アメとムチを使い分ける必要があると思います。
マズいのは (スコア:0)
> 当面の間、休診とさせていただくとする告知をおこなっている。
これだろうなぁ。災害時も休診になる病院ということになるのだが…
Re: (スコア:0)
もうAnamesoncraftとそのソックパペットはアカウント凍結して出禁で良くね?
Twitterですら何年も前に凍結されてるぞ?
すらどはTwitter以下か?
Re: (スコア:0)
荒らしもキ○ガイも不具合も全部放置されている現状をみてなおTwitterと比べ物になると思ってるならまずその認識を改めるべきでは。